• 項(xiàng)目介紹

       信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程。

       風(fēng)險(xiǎn)評(píng)估依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可能性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值判斷安全事件一旦發(fā)生對(duì)組織造成的影響。

       通過(guò)對(duì)被測(cè)業(yè)務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定系統(tǒng)威脅來(lái)源及脆弱性，識(shí)別系統(tǒng)面臨的風(fēng)險(xiǎn)，并根據(jù)評(píng)估結(jié)果，實(shí)施相應(yīng)措施降低系統(tǒng)風(fēng)險(xiǎn)，從而達(dá)到提高業(yè)務(wù)系統(tǒng)安全性的目的。

• 測(cè)評(píng)范圍

       風(fēng)險(xiǎn)評(píng)估范圍可能是組織全部的信息及信息處理相關(guān)的各類(lèi)資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門(mén)等。

在確定評(píng)估范圍時(shí)，需結(jié)合已確定的評(píng)估目標(biāo)和組織的實(shí)際信息系統(tǒng)建設(shè)情況，合理定義評(píng)估對(duì)象和評(píng)估范圍邊界，可參考以下依據(jù)作為評(píng)估范圍邊界劃分的劃分原則：

       (1) 業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界；

       (2) 網(wǎng)絡(luò)邊界；

       (3) 物理環(huán)境邊界；

       (4) 組織管理權(quán)限邊界。

• 測(cè)評(píng)依據(jù)

       主要測(cè)評(píng)依據(jù)（以下標(biāo)準(zhǔn)均為最新版本適用）：

   1、GB/T 20274  《信息系統(tǒng)安全保障評(píng)估框架》系列標(biāo)準(zhǔn)

   2、GB/T 20984  《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》

   3、GB/T 18336  《信息技術(shù) 技術(shù)安全 信息技術(shù)安全評(píng)估準(zhǔn)則》系列標(biāo)準(zhǔn)

• 項(xiàng)目流程

       信息安全風(fēng)險(xiǎn)評(píng)估主要包括評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估文件記錄七個(gè)階段，具體實(shí)施流程如下圖所示：